Recentemente mi sono imbattuto in ISO 27000. Fondamentalmente quello che ho imparato è che è utilizzato per scopi di controllo nelle organizzazioni. Puoi dire cosa è esattamente, se mi sbaglio? Quali strumenti sono disponibili per l'audit ISO 27001 e in che modo posso informarlo? Allo scopo possono essere usati semplici strumenti di penetrazione?
ISO27000 ha poco a che fare con i test di penetrazione. Si tratta di una raccolta di standard ISMS (Information Security Management Systems) che forniscono un elenco di controlli che un'organizzazione deve implementare in quanto consente (o dovrebbe consentire) un'adeguata governance della sicurezza.
È più a livello concettuale e fornisce più un insieme di regole che possono essere utilizzate per creare policy e processi.
Gli standard possono essere utilizzati sia per l'implementazione che per il controllo. I revisori esamineranno se avete correttamente implementato tutti i concetti e vi accreditate con il certificato se si ritiene che abbiate eseguito una corretta implementazione. Richiederanno di vedere le politiche definite e metteranno alla prova queste contro la situazione reale. Questo non è quasi mai tecnico.
Uno dei controlli (ce ne sono diversi) richiede che l'azienda esegua regolarmente test di penetrazione e attacco. Il revisore non eseguirà personalmente una penetrazione ma richiederà rapporti pertinenti. Le politiche spesso definiscono anche come devono essere affrontati i problemi o come i rischi possono essere accettati o mitigati. Il revisore esaminerà il rapporto e chiederà come viene eseguito il follow up (e rivede se ciò è fatto correttamente)
ISO / IEC 27001: 2013 è uno standard internazionale promosso da ISO che stabilisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). Il principale obiettivo di ISMS è ridurre il rischio IT della propria organizzazione identificando le minacce, implementando i controlli di sicurezza, misurandone l'efficacia e migliorandole continuamente.
La ISO / IEC 27001: 2013 è uno standard di una famiglia . Ad esempio, ISO 27000 ha definizioni, best practice ISO 27002 (best practice! = Requisiti) e così via ...
Il principale obiettivo di ISO 27001 non è quello di essere verificato ma di essere implementato prima in un'organizzazione. Dopo di ciò, può essere controllato. Gli audit possono essere di prima parte, seconda o terza parte (certificazione). Il superamento di un audit di terze parti da parte di un'organizzazione accreditata garantisce la certificazione del tuo ISMS conforme allo standard ISO 27001.
Se si controlla semplicemente la conformità con ISO 27001 senza prima implementarlo, come per esempio per avere una misura della propria sicurezza, a mio parere, il risultato sarà ingannevole perché ISO 27001 richiede una documentazione e la sua mancanza non implica che non sei sicuro (non averlo implica che tu sia sicuro)
IMO, il modo migliore per conoscere la ISO 27001 è acquistare gli standard ISO 27001 e ISO 27002 dal sito ISO e studiarli.